Important : un chercheur en sécurité révèle une opération à grande échelle de vente d'appareils Ledger Nano S Plus falsifiés et compromis, distribués via plusieurs plateformes.

Il a été découvert qu'un appareil falsifié acheté sur un marché chinois contenait du matériel modifié utilisant une puce ESP32 au lieu de la puce de sécurité originale de Ledger, avec des phrases de récupération (Seeds) et des numéros d'identification (PIN) stockés en texte clair, puis envoyés à des serveurs contrôlés par l'attaquant.

L'appareil fonctionnait avec un firmware falsifié nommé Nano S+ V2.1 et supportait environ 20 réseaux blockchain, permettant de siphonner des fonds de tout portefeuille créé dessus.

De plus, le vendeur a fourni une version malveillante de l'application Ledger Live construite avec React Native, signée avec un certificat de débogage (Debug Certificate), conçue pour intercepter les transactions, voler des données sensibles et les transmettre à plusieurs serveurs de commande et de contrôle.

La campagne comprend cinq méthodes d'attaque différentes :
- appareils matériels compromis.
- :applications Android au format APK.
- fichiers Windows au format EXE.
- installateurs macOS au format DMG.
- applications iOS distribuées via TestFlight pour contourner la revue de l'App Store.

Les experts avertissent que la fonction "Vérification d'authenticité" peut être contournée si le matériel est compromis à la source, rendant l'achat sur des marchés externes ou auprès de vendeurs non officiels extrêmement risqué.

Il est conseillé aux utilisateurs de :
- n'acheter des portefeuilles matériels qu'à partir de sources officielles.
- éviter les appareils contenant des phrases de récupération générées à l'avance.
- ne jamais entrer ces phrases dans les applications associées.

Un rapport complet a été soumis à l'équipe de sécurité de Ledger, et des détails techniques supplémentaires seront publiés après la fin de la revue interne.
$BTC
#